Mengamankan identitas organisasi Anda dengan ID Microsoft Entra
Tampaknya menakutkan mencoba mengamankan pekerja Anda di dunia saat ini, terutama ketika Anda harus merespons dengan cepat dan memberikan akses ke banyak layanan dengan cepat. Artikel ini membantu menyediakan daftar tindakan yang ringkas untuk diambil, membantu Anda mengidentifikasi dan memprioritaskan fitur berdasarkan jenis lisensi yang Anda miliki.
MICROSOFT Entra ID menawarkan banyak fitur dan menyediakan banyak lapisan keamanan untuk Identitas Anda, menavigasi fitur mana yang relevan terkadang bisa luar biasa. Dokumen ini dimaksudkan untuk membantu organisasi menyebarkan layanan dengan cepat, dengan identitas yang aman sebagai pertimbangan utama.
Setiap tabel memberikan rekomendasi keamanan untuk melindungi identitas dari serangan keamanan umum sambil meminimalkan gesekan pengguna.
Panduan ini membantu:
- Mengonfigurasi akses ke perangkat lunak sebagai layanan (SaaS) dan aplikasi lokal dengan cara yang aman dan terlindungi
- Identitas cloud dan hibrid
- Pengguna yang bekerja dari jarak jauh atau di kantor
Prasyarat
Panduan ini mengasumsikan bahwa identitas khusus cloud atau hibrid Anda sudah dibuat di ID Microsoft Entra. Untuk bantuan dalam memilih jenis identitas Anda, lihat artikel, Pilih metode autentikasi (AuthN) yang tepat untuk solusi identitas hibrid Microsoft Entra Anda.
Microsoft menyarankan agar organisasi memiliki dua akun akses darurat khusus cloud yang secara permanen menetapkan peran Administrator Global. Akun-akun ini sangat istimewa dan tidak ditetapkan untuk individu tertentu. Akun terbatas pada skenario darurat atau "pecahkan kaca" di mana akun normal tidak dapat digunakan atau semua administrator lain secara tidak sengaja dikunci. Akun-akun ini harus dibuat mengikuti rekomendasi akun akses darurat.
Panduan terpandu
Untuk panduan tentang banyak rekomendasi dalam artikel ini, lihat panduan Menyiapkan ID Microsoft Entra saat masuk ke pusat Admin Microsoft 365. Untuk meninjau praktik terbaik tanpa masuk dan mengaktifkan fitur penyiapan otomatis, buka portal Penyiapan Microsoft 365.
Panduan untuk pelanggan Microsoft Entra ID Gratis, Office 365, atau Microsoft 365
Ada banyak rekomendasi yang harus diambil pelanggan aplikasi Microsoft Entra ID Gratis, Office 365, atau Microsoft 365 untuk melindungi identitas pengguna mereka. Tabel berikut ini dimaksudkan untuk menyoroti tindakan utama untuk langganan lisensi berikut:
- Office 365 (Office 365 E1, E3, E5, F1, A1, A3, A5)
- Microsoft 365 (Business Basic, Apps for Business, Business Standard, Business Premium, A1)
- Microsoft Entra ID Gratis (disertakan dengan Azure, Dynamics 365, Intune, dan Power Platform)
| Tindakan yang direkomendasikan | Detail |
|---|---|
| Aktifkan Default Keamanan | Lindungi semua identitas dan aplikasi pengguna dengan mengaktifkan autentikasi multifaktor dan memblokir autentikasi warisan. |
| Aktifkan Sinkronisasi Hash Kata Sandi (jika menggunakan identitas hibrid) | Berikan redundansi untuk autentikasi dan tingkatkan keamanan (termasuk Penguncian Cerdas, Penguncian IP, dan kemampuan untuk menemukan kredensial yang bocor). |
| Mengaktifkan penguncian cerdas Layanan Federasi Direktori Aktif (Jika berlaku) | Melindungi pengguna Anda dari mengalami penguncian akun ekstranet dari aktivitas berbahaya. |
| Mengaktifkan penguncian cerdas Microsoft Entra (jika menggunakan identitas terkelola) | Penguncian cerdas membantu mengunci pelaku jahat yang mencoba menebak kata sandi pengguna Anda atau menggunakan metode brute-force untuk masuk. |
| Menonaktifkan persetujuan pengguna akhir untuk aplikasi | Alur kerja persetujuan admin memberi admin cara yang aman untuk memberikan akses ke aplikasi yang memerlukan persetujuan admin sehingga pengguna akhir tidak mengekspos data perusahaan. Microsoft merekomendasikan untuk menonaktifkan operasi persetujuan pengguna di masa mendatang untuk membantu mengurangi area permukaan Anda dan mengurangi risiko ini. |
| Mengintegrasikan aplikasi SaaS yang didukung dari galeri ke MICROSOFT Entra ID dan mengaktifkan akses menyeluruh (SSO) | MICROSOFT Entra ID memiliki galeri yang berisi ribuan aplikasi yang telah diintegrasi sebelumnya. Beberapa aplikasi yang digunakan organisasi Anda mungkin ada di galeri yang dapat diakses langsung dari portal Azure. Menyediakan akses ke aplikasi SaaS perusahaan dari jarak jauh dan aman dengan pengalaman pengguna yang ditingkatkan (akses menyeluruh (SSO)). |
| Mengotomatiskan provisi dan deprovisi pengguna dari Aplikasi SaaS (jika berlaku) | Buat identitas dan peran pengguna secara otomatis di aplikasi cloud (SaaS) yang perlu diakses pengguna. Selain membuat identitas pengguna, provisi otomatis mencakup pemeliharaan dan penghapusan identitas pengguna saat status atau peran berubah, meningkatkan keamanan organisasi Anda. |
| Mengaktifkan Akses hibrid aman: Mengamankan aplikasi warisan dengan pengontrol dan jaringan pengiriman aplikasi yang ada (jika ada) | Terbitkan dan lindungi aplikasi autentikasi warisan lokal dan cloud Anda dengan menyambungkannya ke ID Microsoft Entra dengan pengontrol atau jaringan pengiriman aplikasi yang ada. |
| Mengaktifkan pengaturan ulang kata sandi mandiri (berlaku untuk akun khusus cloud) | Kemampuan ini mengurangi panggilan staf dukungan dan hilangnya produktivitas saat pengguna tidak dapat masuk ke perangkat atau aplikasi mereka. |
| Gunakan peran dengan hak istimewa paling sedikit jika memungkinkan | Beri administrator Anda akses yang mereka butuhkan hanya ke area yang perlu mereka akses. |
| Mengaktifkan panduan kata sandi Microsoft | Berhenti mengharuskan pengguna untuk mengubah kata sandi mereka pada jadwal yang ditetapkan, menonaktifkan persyaratan kompleksitas, dan pengguna Anda lebih tepat untuk mengingat kata sandi mereka dan menjaga mereka sesuatu yang aman. |
Panduan untuk pelanggan Microsoft Entra ID P1
Tabel berikut ini dimaksudkan untuk menyoroti tindakan utama untuk langganan lisensi berikut:
- Microsoft Entra ID P1
- Microsoft Enterprise Mobility + Security E3
- Microsoft 365 (E3, A3, F1, F3)
| Tindakan yang direkomendasikan | Detail |
|---|---|
| Mengaktifkan pengalaman pendaftaran gabungan untuk autentikasi multifaktor Microsoft Entra dan SSPR untuk menyederhanakan pengalaman pendaftaran pengguna | Izinkan pengguna Anda mendaftar dari satu pengalaman umum untuk autentikasi multifaktor Microsoft Entra dan pengaturan ulang kata sandi layanan mandiri. |
| Mengonfigurasi pengaturan autentikasi multifaktor untuk organisasi Anda | Pastikan akun dilindungi agar tidak disusupi dengan autentikasi multifaktor. |
| Mengaktifkan pengaturan ulang kata sandi mandiri | Kemampuan ini mengurangi panggilan staf dukungan dan hilangnya produktivitas saat pengguna tidak dapat masuk ke perangkat atau aplikasi mereka. |
| Menerapkan Tulis Balik Kata Sandi (jika menggunakan identitas hibrid) | Izinkan perubahan kata sandi di cloud ditulis kembali ke lingkungan Windows Server Active Directory lokal. |
| Membuat dan mengaktifkan kebijakan Akses Bersyar | Autentikasi multifaktor bagi admin untuk melindungi akun yang diberi hak administratif. Blokir protokol autentikasi warisan karena peningkatan risiko yang terkait dengan protokol autentikasi warisan. Autentikasi multifaktor untuk semua pengguna dan aplikasi untuk membuat kebijakan autentikasi multifaktor yang seimbang untuk lingkungan Anda, mengamankan pengguna dan aplikasi Anda. Memerlukan autentikasi multifaktor untuk Azure Management untuk melindungi sumber daya istimewa Anda dengan memerlukan autentikasi multifaktor untuk setiap pengguna yang mengakses sumber daya Azure. |
| Aktifkan Sinkronisasi Hash Kata Sandi (jika menggunakan identitas hibrid) | Berikan redundansi untuk autentikasi dan tingkatkan keamanan (termasuk Penguncian Cerdas, Penguncian IP, dan kemampuan untuk menemukan kredensial yang bocor.) |
| Mengaktifkan penguncian cerdas Layanan Federasi Direktori Aktif (Jika berlaku) | Melindungi pengguna Anda dari mengalami penguncian akun ekstranet dari aktivitas berbahaya. |
| Mengaktifkan penguncian cerdas Microsoft Entra (jika menggunakan identitas terkelola) | Penguncian cerdas membantu mengunci pelaku jahat yang mencoba menebak kata sandi pengguna Anda atau menggunakan metode brute-force untuk masuk. |
| Menonaktifkan persetujuan pengguna akhir untuk aplikasi | Alur kerja persetujuan admin memberi admin cara yang aman untuk memberikan akses ke aplikasi yang memerlukan persetujuan admin sehingga pengguna akhir tidak mengekspos data perusahaan. Microsoft merekomendasikan untuk menonaktifkan operasi persetujuan pengguna di masa mendatang untuk membantu mengurangi area permukaan Anda dan mengurangi risiko ini. |
| Mengaktifkan akses jarak jauh ke aplikasi warisan lokal dengan Proksi Aplikasi | Aktifkan proksi aplikasi Microsoft Entra dan integrasikan dengan aplikasi warisan bagi pengguna untuk mengakses aplikasi lokal dengan aman dengan masuk dengan akun Microsoft Entra mereka. |
| Aktifkan Akses hibrid aman: Mengamankan aplikasi warisan dengan pengontrol dan jaringan pengiriman aplikasi yang ada (jika berlaku). | Terbitkan dan lindungi aplikasi autentikasi warisan lokal dan cloud Anda dengan menyambungkannya ke ID Microsoft Entra dengan pengontrol atau jaringan pengiriman aplikasi yang ada. |
| Mengintegrasikan aplikasi SaaS yang didukung dari galeri ke MICROSOFT Entra ID dan mengaktifkan akses menyeluruh | MICROSOFT Entra ID memiliki galeri yang berisi ribuan aplikasi yang telah diintegrasi sebelumnya. Beberapa aplikasi yang digunakan organisasi Anda mungkin ada di galeri yang dapat diakses langsung dari portal Azure. Menyediakan akses ke aplikasi SaaS perusahaan dari jarak jauh dan aman dengan pengalaman pengguna (SSO) yang ditingkatkan. |
| Mengotomatiskan provisi dan deprovisi pengguna dari Aplikasi SaaS (jika berlaku) | Buat identitas dan peran pengguna secara otomatis di aplikasi cloud (SaaS) yang perlu diakses pengguna. Selain membuat identitas pengguna, provisi otomatis mencakup pemeliharaan dan penghapusan identitas pengguna saat status atau peran berubah, meningkatkan keamanan organisasi Anda. |
| Aktifkan Akses Bersyar – Berbasis perangkat | Meningkatkan pengalaman keamanan dan pengguna dengan Akses Bersyarkat berbasis perangkat. Langkah ini memastikan pengguna hanya dapat mengakses dari perangkat yang memenuhi standar Anda untuk keamanan dan kepatuhan. Perangkat ini juga dikenal sebagai perangkat terkelola. Perangkat terkelola dapat mematuhi Intune atau perangkat gabungan hibrid Microsoft Entra. |
| Aktifkan Perlindungan Kata Sandi | Lindungi pengguna agar tidak menggunakan kata sandi yang lemah dan mudah ditebak. |
| Gunakan peran dengan hak istimewa paling sedikit jika memungkinkan | Beri administrator Anda akses yang mereka butuhkan hanya ke area yang perlu mereka akses. |
| Mengaktifkan panduan kata sandi Microsoft | Berhenti mengharuskan pengguna untuk mengubah kata sandi mereka pada jadwal yang ditetapkan, menonaktifkan persyaratan kompleksitas, dan pengguna Anda lebih tepat untuk mengingat kata sandi mereka dan menjaga mereka sesuatu yang aman. |
| Membuat daftar kata sandi terlarang kustom khusus organisasi | Mencegah pengguna membuat kata sandi yang menyertakan kata atau frasa umum dari organisasi atau area Anda. |
| Menyebarkan metode autentikasi tanpa kata sandi untuk pengguna Anda | Berikan pengguna Anda metode autentikasi tanpa kata sandi yang nyaman. |
| Membuat paket untuk akses pengguna tamu | Berkolaborasi dengan pengguna tamu dengan mengizinkan mereka masuk ke aplikasi dan layanan Anda dengan identitas kerja, sekolah, atau sosial mereka sendiri. |
Panduan untuk pelanggan Microsoft Entra ID P2
Tabel berikut ini dimaksudkan untuk menyoroti tindakan utama untuk langganan lisensi berikut:
- Microsoft Entra ID P2
- Microsoft Enterprise Mobility + Security E5
- Microsoft 365 (E5, A5)
| Tindakan yang direkomendasikan | Detail |
|---|---|
| Mengaktifkan pengalaman pendaftaran gabungan untuk autentikasi multifaktor Microsoft Entra dan SSPR untuk menyederhanakan pengalaman pendaftaran pengguna | Izinkan pengguna Anda mendaftar dari satu pengalaman umum untuk autentikasi multifaktor Microsoft Entra dan pengaturan ulang kata sandi layanan mandiri. |
| Mengonfigurasi pengaturan autentikasi multifaktor untuk organisasi Anda | Pastikan akun dilindungi agar tidak disusupi dengan autentikasi multifaktor. |
| Mengaktifkan pengaturan ulang kata sandi mandiri | Kemampuan ini mengurangi panggilan staf dukungan dan hilangnya produktivitas saat pengguna tidak dapat masuk ke perangkat atau aplikasi mereka. |
| Menerapkan Tulis Balik Kata Sandi (jika menggunakan identitas hibrid) | Izinkan perubahan kata sandi di cloud ditulis kembali ke lingkungan Windows Server Active Directory lokal. |
| Mengaktifkan kebijakan Perlindungan ID Microsoft Entra untuk memberlakukan pendaftaran autentikasi multifaktor | Mengelola peluncuran autentikasi multifaktor Microsoft Entra. |
| Mengaktifkan pengguna dan kebijakan Akses Bersyarat berbasis risiko masuk | Kebijakan masuk yang direkomendasikan adalah menargetkan rincian masuk risiko sedang dan memerlukan autentikasi multifaktor. Untuk Kebijakan pengguna, Anda harus menargetkan pengguna berisiko tinggi yang memerlukan tindakan perubahan kata sandi. |
| Membuat dan mengaktifkan kebijakan Akses Bersyar | Autentikasi multifaktor bagi admin untuk melindungi akun yang diberi hak administratif. Blokir protokol autentikasi warisan karena peningkatan risiko yang terkait dengan protokol autentikasi warisan. Memerlukan autentikasi multifaktor untuk Azure Management untuk melindungi sumber daya istimewa Anda dengan memerlukan autentikasi multifaktor untuk setiap pengguna yang mengakses sumber daya Azure. |
| Aktifkan Sinkronisasi Hash Kata Sandi (jika menggunakan identitas hibrid) | Berikan redundansi untuk autentikasi dan tingkatkan keamanan (termasuk Penguncian Cerdas, Penguncian IP, dan kemampuan untuk menemukan kredensial yang bocor.) |
| Mengaktifkan penguncian cerdas Layanan Federasi Direktori Aktif (Jika berlaku) | Melindungi pengguna Anda dari mengalami penguncian akun ekstranet dari aktivitas berbahaya. |
| Mengaktifkan penguncian cerdas Microsoft Entra (jika menggunakan identitas terkelola) | Penguncian cerdas membantu mengunci pelaku jahat yang mencoba menebak kata sandi pengguna Anda atau menggunakan metode brute-force untuk masuk. |
| Menonaktifkan persetujuan pengguna akhir untuk aplikasi | Alur kerja persetujuan admin memberi admin cara yang aman untuk memberikan akses ke aplikasi yang memerlukan persetujuan admin sehingga pengguna akhir tidak mengekspos data perusahaan. Microsoft merekomendasikan untuk menonaktifkan operasi persetujuan pengguna di masa mendatang untuk membantu mengurangi area permukaan Anda dan mengurangi risiko ini. |
| Mengaktifkan akses jarak jauh ke aplikasi warisan lokal dengan Proksi Aplikasi | Aktifkan proksi aplikasi Microsoft Entra dan integrasikan dengan aplikasi warisan bagi pengguna untuk mengakses aplikasi lokal dengan aman dengan masuk dengan akun Microsoft Entra mereka. |
| Aktifkan Akses hibrid aman: Mengamankan aplikasi warisan dengan pengontrol dan jaringan pengiriman aplikasi yang ada (jika berlaku). | Terbitkan dan lindungi aplikasi autentikasi warisan lokal dan cloud Anda dengan menyambungkannya ke ID Microsoft Entra dengan pengontrol atau jaringan pengiriman aplikasi yang ada. |
| Mengintegrasikan aplikasi SaaS yang didukung dari galeri ke MICROSOFT Entra ID dan mengaktifkan akses menyeluruh | MICROSOFT Entra ID memiliki galeri yang berisi ribuan aplikasi yang telah diintegrasi sebelumnya. Beberapa aplikasi yang digunakan organisasi Anda mungkin ada di galeri yang dapat diakses langsung dari portal Azure. Menyediakan akses ke aplikasi SaaS perusahaan dari jarak jauh dan aman dengan pengalaman pengguna (SSO) yang ditingkatkan. |
| Mengotomatiskan provisi dan deprovisi pengguna dari Aplikasi SaaS (jika berlaku) | Buat identitas dan peran pengguna secara otomatis di aplikasi cloud (SaaS) yang perlu diakses pengguna. Selain membuat identitas pengguna, provisi otomatis mencakup pemeliharaan dan penghapusan identitas pengguna saat status atau peran berubah, meningkatkan keamanan organisasi Anda. |
| Aktifkan Akses Bersyar – Berbasis perangkat | Meningkatkan pengalaman keamanan dan pengguna dengan Akses Bersyarkat berbasis perangkat. Langkah ini memastikan pengguna hanya dapat mengakses dari perangkat yang memenuhi standar Anda untuk keamanan dan kepatuhan. Perangkat ini juga dikenal sebagai perangkat terkelola. Perangkat terkelola dapat mematuhi Intune atau perangkat gabungan hibrid Microsoft Entra. |
| Aktifkan Perlindungan Kata Sandi | Lindungi pengguna agar tidak menggunakan kata sandi yang lemah dan mudah ditebak. |
| Gunakan peran dengan hak istimewa paling sedikit jika memungkinkan | Beri administrator Anda akses yang mereka butuhkan hanya ke area yang perlu mereka akses. |
| Mengaktifkan panduan kata sandi Microsoft | Berhenti mengharuskan pengguna untuk mengubah kata sandi mereka pada jadwal yang ditetapkan, menonaktifkan persyaratan kompleksitas, dan pengguna Anda lebih tepat untuk mengingat kata sandi mereka dan menjaga mereka sesuatu yang aman. |
| Membuat daftar kata sandi terlarang kustom khusus organisasi | Mencegah pengguna membuat kata sandi yang menyertakan kata atau frasa umum dari organisasi atau area Anda. |
| Menyebarkan metode autentikasi tanpa kata sandi untuk pengguna Anda | Memberi pengguna Anda metode autentikasi tanpa kata sandi yang nyaman |
| Membuat paket untuk akses pengguna tamu | Berkolaborasi dengan pengguna tamu dengan mengizinkan mereka masuk ke aplikasi dan layanan Anda dengan identitas kerja, sekolah, atau sosial mereka sendiri. |
| Aktifkan Privileged Identity Management (PIM) | Memungkinkan Anda mengelola, mengontrol, dan memantau akses ke sumber daya penting di organisasi Anda, memastikan admin hanya memiliki akses saat diperlukan dan dengan persetujuan. |
| Menyelesaikan tinjauan akses untuk peran direktori Microsoft Entra di PIM | Bekerja sama dengan tim keamanan dan kepemimpinan Anda untuk membuat kebijakan tinjauan akses untuk meninjau akses administratif berdasarkan kebijakan organisasi Anda. |
Zero Trust
Fitur ini membantu organisasi untuk menyelaraskan identitas mereka dengan tiga prinsip panduan arsitektur Zero Trust:
- Verifikasi secara eksplisit
- Gunakan hak istimewa paling sedikit
- Asumsikan pelanggaran
Untuk mengetahui selengkapnya tentang Zero Trust dan cara lain untuk menyelaraskan organisasi Anda dengan prinsip panduan, lihat Pusat Panduan Zero Trust.